Microsoft: URI MHTML ed è rischio di attacchi XSS

Microsoft ha lanciato l’allerta circa la scoperta di una vulnerabilità di sicurezza che potrebbe essere sfruttata, da parte di malintenzionati, per eseguire codice maligno sul sistema. La lacuna sembra risiedere nel gestore di protocollo (protocol handler) MHTML che è supportato da Windows in modo predefinito (un problema molto simile era recentemente emerso nel caso di Flash Player; ved. questo nostro articolo).

Secondo Andrew Storms, di nCircle Security, l’attacco che gli aggressori potrebbero porre in essere sfruttando la nuova vulnerabilità può essere considerata come una variante di un “cross-site scripting attack” (XSS; ne abbiamo parlato, ad esempio, in questo approfondimento ed in questi articoli). Grazie ad un’aggressione del genere, un malintenzionato potrebbe riuscire a prendere il controllo della corrente sessione di lavoro dell’utente semplicemente inserendo script maligno in una pagina web. “Una terza persona potrebbe agire come se fosse l’utente compiendo azioni su molteplici servizi online, senza alcuna autorizzazione“, ha aggiunto Storms.

Angela Gunn, portavoce di Microsoft ha spiegato come “uno script dannoso possa riuscire a raccogliere informazioni sulle attività dell’utente, alterare il contenuto mostrato nel browser od interferire con la navigazione dell’utente“. Dello stesso avviso è Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia: “inducendo l’utente a cliccare su un URL malformato che invochi il protocollo MHTML per aprire un documento HTML, si riuscirebbe a fargli eseguire uno script non autorizzato nel contesto di sicurezza dello stesso utente e del sito di destinazione“.

Gli utenti di Internet Explorer sono, ovviamente, quelli esposti – in questo caso – ai maggiori rischi. Lo ha confermato anche Wolfgang Kandek, CTO di Qualys: “Firefox e Chrome, ad esempio, non sono afflitti dalla problematica nelle loro rispettive configurazioni di default dal momento che i due browser non supporto MHTML se non con l’installazione di add-on“.

Al momento non è disponibile una patch risolutiva. I tecnici di Microsoft suggeriscono l’applicazione di uno speciale “Fix it“, scaricabile da questa pagina. In particolare, eseguendo questo file .MSI si provvederà alla disattivazione del protocollo MHTML.

Invitiamo i più curiosi ad approfondire l’argomento dei “protocol handler” facendo riferimento a questo nostro articolo. Utilizzando il software URLProtocolView (ved. questa pagina) si può stabilire agevolmente quali gestori di protocollo sono definiti sul sistema in uso.